Passwort-Richtlinien

Owned by Dirk Münker
Last updated: März 12, 2024 by Sebastian Schulz
1 min read

Anmeldeformulare schützen

Da Webanwendungen häufig viele Benutzerkonten aufweisen, ist die Wahrscheinlichkeit, einen Nutzer mit schwachem Passwort zu finden, sehr hoch.

Benutzername und Passwort sind vertrauliche Informationen. Deshalb sollten Angaben, die neben dem Passwort zur Anmeldung verwendet werden (beispielsweise Benutzername oder E-Mail-Adresse), nie auf der Webseite dargestellt werden. Nicht zu empfehlen ist die Identifikation über einlaufende Identifikationsnummer, da diese von Angreifern leicht für Brute-Force-Angriffe verwendet werden kann.

Im Registrierungsformular sollten den Nutzern durch Validierung Vorgaben für die Erstellung sicherer Passwörter gemacht werden. Neben der Länge und des verwendeten Zeichensatzes können dies weiche Tipps sein, zum Beispiel Passwörter nicht mehrfach zu verwenden und Passphrases (Passwort-Sätze aus mehreren Wörtern) statt kurzen Passwörter zu verwenden.

Fortschrittliche Webanwendungen gehen inzwischen dazu über, den Nutzern die Möglichkeit einer Authentifizierung durch eine sogenannte 2-Faktor-Authentifizierung zu bieten (Passwort und ein weiterer Faktor zur Authentifizierung).

Eine häufig ausgenutzte Schwachstelle ist der Mechanismus, um Passwörter zurückzusetzen. Hier sollte mindestens das gleiche Schutzniveau wie bei der erstmaligen Anmeldung gelten. Angreifern sollte auch hier keine offene Flanke geboten werden, beispielsweise durch Sicherheitsfragen mit vorgegeben Antworten.

Administratoren

Administratoren unterliegen besonderen Restriktionen, da sie allgemeinen Zugriff auf die Anwendung haben.

Die Länge der Passwörter von Administratoren wird auf 20 Zeichen erzwungen. Das Passwort muss aus 4 Zeichengruppen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen) mit mindestens 2 Zeichen pro Gruppe bestehen. 

Anwender

Die Passwörter von Anwendern sind global konfigurierbar. Es gelten generell die gleichen Anforderungen an die Passwörter von Anwendern. Die Länge und die Zeichengruppen lassen sich einstellen.

Passwort-Eingabe vor Administration (Opt-In)

Die Admin-Area wird durch ein Opt-In-Verfahren zusätzlich vor Zugriff geschützt. Ausschließlich Administratoren dürfen den Bereich betreten.